アカウントおよび認証
管理サーバーでの二段階認証の使用
Kaspersky Security Center Linux は、RFC 6238 標準(TOTP:Time-Based One-Time Password アルゴリズム)に基づいて、Kaspersky Security Center Web コンソールのユーザーに二段階認証を提供します。
自分のアカウントに二段階認証が適用されると、Kaspersky Security Center Web コンソールにログインするたびに、ユーザー名、パスワードおよび追加で一回のみ使用するセキュリティコードを入力するようになります。このセキュリティコードを受け取るには、お使いのコンピューターまたは携帯電話などに認証アプリケーションがインストールされている必要があります。
RFC 6238 標準に対応したソフトウェアとハードウェアの両方の認証機能(トークン)があります。たとえば、ソフトウェア認証には、Google Authenticator、Microsoft Authenticator、FreeOTP などがあります。
管理サーバーへの接続が確立されているデバイスと同じデバイスに認証アプリケーションをインストールすることは強く推奨しません。モバイルデバイスに認証アプリケーションをインストールすることができます。
オペレーティングシステムの二要素認証の使用
管理サーバーデバイスでの認証には、トークン、スマートカード、またはその他の方法(可能な場合)を使用した多要素認証(MFA)を使用することを推奨します。
管理者パスワード保存の禁止
Kaspersky Security Center Web コンソールを使用する場合、ユーザーのデバイスにインストールされているブラウザーに管理者パスワードを保存することは推奨しません。
内部ユーザーアカウントの認証
既定では、管理サーバーの内部ユーザーアカウントのパスワードは次の規則に従う必要があります:
パスワードは、8 文字以上 16 文字以下にしてください。
パスワードでは、次の文字種別のうち 3 つ以上を組み合わせてください。
アルファベット大文字(A-Z)
アルファベット小文字(a-z)
数字(0 - 9)
特殊文字(@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)
パスワードに空白文字や Unicode 文字を含めることはできません。また「.」の後に続けて「@」を入力することは避けてください。
既定では、許可されるパスワードの入力試行回数の上限は 10 回です。パスワード入力の試行回数を変更することができます。
Kaspersky Security Center Linux のユーザーが無効なパスワードを入力できる回数には上限があります。入力回数が上限に達すると、ユーザーアカウントが 1 時間ブロックされます。
管理サーバー専用の管理グループ
管理サーバー専用の管理グループを作成することを推奨します。このグループには特別なアクセス権限を付与し、特別なセキュリティポリシーを作成します。
管理サーバーのセキュリティレベルを意図的に下げることを避けるために、専用の管理グループを管理できるアカウントのリストを制限することを推奨します。
メイン管理者ロールの割り当ての制限
kladduser ユーティリティによって作成されたユーザーには、管理サーバーのアクセス制御リスト(ACL)でメイン管理者ロールが割り当てられます。メイン管理者ロールを多数のユーザーに割り当てることは避けることを推奨します。
アプリケーション機能へのアクセス権の設定
ユーザーまたはユーザーグループごとに、Kaspersky Security Center Linux の機能へのアクセス権を柔軟に設定することを推奨します。
ロールベースのアクセス制御により、事前定義された一連の権利を持つ標準ユーザーロールを作成し、職務の範囲に応じてこれらのロールをユーザーに割り当てることができます。
ロールベースのアクセス制御モデルの主な利点:
- 管理の容易さ
- ロール階層
- 最小特権方法
- 職務の分離
職位に基づいて特定の従業員に組み込みのロールを割り当てたり、まったく新しいロールを作成したりすることができます。
ロールを構成する際は、管理サーバーデバイスの保護状態の変更とサードパーティ製ソフトウェアのリモートインストールに関連する権限に注意してください:
- 管理グループの管理。
- 管理サーバー上での操作。
- リモートインストール。
- イベントを保存して通知を送信するためのパラメータの変更。
この権限により、イベントの発生時に管理サーバーデバイスでスクリプトまたは実行可能モジュールを実行する通知を設定できます。
アプリケーションのリモートインストール用の個別のアカウント
アクセス権の基本的な差別化に加えて、すべてのアカウントに対してアプリケーションのリモートインストールを制限することを推奨します(メイン管理者または別の特殊なアカウントを除く)。
アプリケーションのリモートインストールには別のアカウントを使用することを推奨します。別のアカウントに役割または権限を割り当てることができます。
すべてのユーザーの定期的な監査
管理サーバーデバイス上のすべてのユーザーを定期的に監査することを推奨します。これにより、デバイスが危険にさらされる可能性に関連する特定の種類のセキュリティ脅威に対応することができます。